Cloudflare Proxy als Certbot Ersatz für Webseite auf Debian Server?
Ich besitze einen Debian Server und habe ihn mit meiner Domain verknüpft und darauf eine Wordpress Webseite erstellt. Diese Domain habe ich in Cloudflare und der entsprechende DNS Eintrag ist mit Proxy. Obwohl auf dem Server kein SSL Zertifikat installiert war, zeigt mir mein Browser eine sichere Verbindung mit einem gültigen Zertifikat an. Wenn ich aber in /wp-admin wechsle, zeigt es meistens sichere Verbindung, manchmal wechselt es aber auch zu nicht sicher.
Reicht jetzt der Proxy von Cloudflare als Ersatz für ein SSL-Zertifikat oder sollte ich lieber noch Certbot für ein SSL-Zertifikat installieren?
2 Antworten
Nein, das reicht nicht aus. Mit deiner Konfiguration ist zwar die Verbindung vom Client zu Cloudflare über deren Zertifikat abgesichert, jedoch nicht die Verbindung von Cloudflare zu deinem Server.
Cloudflare stellt dazu kostenlose Zertifikate für den Ursprungsserver zur Verfügung, die du dort installieren kannst. Die sind lange (ich glaube 15 Jahre) gültig und müssen daher auch nicht (oft) erneuert werden.
Stelle dann die Kommunikation auf vollständig oder strikt und dann sollte es passen. In Wordpress dann auch HTTPS aktivieren.
Und bei Flexibel schreibt Cloudflare auch dazu:
…aber alle Verbindungen zwischen Cloudflare und Ihrem Ursprung werden über HTTP hergestellt.
Wie schon gesagt, das ist nicht sicher, da sämtlicher Verkehr zwischen Cloudflare und deinem Server unverschlüsselt ist.
Im Abschnitt Ursprungsserver kannst du dir ein Zertifikat für deinen Server erstellen lassen und runterladen. Wenn du das installiert hast, kannst du die Verschlüsselung auf Vollständig stellen und bist auf der sicheren Seite.
Ich habe alles wie in diesem Tutorial (https://www.orchidbox.com/insights/how-to-install-a-cloudflare-origin-certificate-on-your-apache-server/) beschrieben gemacht, in Cloudflare immer auf HTTPS umleiten aktiviert, für immer HTTPS verwenden die WordPress Config und die .htaccess Datei angepasst und den Server neu gestartet, aber in WordPress wird mir immernoch im Website-Zustand angezeigt, dass die Webseite kein HTTPS verwendet.
in Cloudflare immer auf HTTPS umleiten aktiviert
Und hast du auch – wie ich schon geschrieben habe – in Cloudflare die Einstellung für den SSL/TLS-Verschlüsselungsmodus von Flexibel auf Vollständig geändert?
Dann weiß ich auch nciht, was Wordpress da will. Hast du denn auch in Wordpress unter Einstellungen → Allgemein die URLs auf https gesetzt?
Danke, das hat funktioniert, daran habe ich nicht gedacht.
Also soll ich lieber die kostenlosen Zertifikate von Cloudflare nutzen und nicht Certbot mit automatischer Erneuerung von Let's encrypt Zertifikaten?
Denk dran im CF Dashboard auch die Rule für die subdomain einzurichten
Solange du den Traffic zwischen Cloudflare und deinem Server mit einem internen cert absicherst reicht das. Kannst da aber genau so gut certbot nutzen.
Wenn der Traffic durch Cloudflare geproxyt wird (nicht nur DNS über Cloudflare läuft!) hat er nach außen ein valides Zertifikat von Cloudflare.
Wenn ich in das SSL/TLS Menü von der Domain in Cloudlfare gehe, steht folgendes da:
SSL/TLS-Verschlüsselung
Aktueller Verschlüsselungsmodus:
Flexibel
Der Verschlüsselungsmodus wurde zuletzt am vor 17 Tagengeändert.
Nächster automatischer Scan am: 11/20.
domain.de verwendet automatisches SSL/TLS
Ihr Verschlüsselungsmodus ist auf die Empfehlung von Cloudflare eingestellt. Sie können dies überschreiben, indem Sie zu "Benutzerdefiniert" wechseln.